Magecart キャンペーンの現状:不正な WordPress プラグインでカード情報を窃取

Rogue WordPress Plugin Exposes E-Commerce Sites to Credit Card Theft

2023/12/22 TheHackerNews — 不正な WordPress プラグインを使用して偽の管理者アカウントを作成し、悪意の JavaScript コードを注入して、クレジットカード情報を窃取するキャンペーンが発見された。このスキミング行為は、eコマース・サイトを標的とした Magecart キャンペーンの一環である。Sucuri のセキュリティ研究者である Ben Martin は、「このプラグインには、他の多くの悪意の WordPress プラグインと同様に、ファイルの先頭に正規のものを装うための、いくつかの偽情報が含まれている。今回の場合は、このプラグインが “WordPress Cache Addons” であると主張するコメントが含まれていた」と述べている。


WordPress サイトに侵入するために、悪意のプラグインが主として悪用するのは、感染させた管理者アカウントもしくは、対象サイト上にインストール済の別のプラグインの脆弱性である。

インストールされた悪意のプラグインは、 mu-plugins (または Must-use プラグイン) ディレクトリに複製され、自動的に有効化された後に、その存在を管理パネルから隠す。

Martin は、「mu-plugin を取り除くには、手動でファイルを削除する他に方法がない。それを防ぐために、マルウエアはあらゆる手段を講じる。このマルウェアは、プラグインが一般的に使用するフックのコールバック関数を登録解除することで、削除を逃れようとする」と述べている。

またこの不正プラグインは、検出を回避してターゲットへのアクセスを長時間持続させるための、オプションも付属している。この機能は、管理者アカウントを作成して、正規の Web サイトの管理者から自身の存在を隠すためのものだ。

このキャンペーンの最終的な目的は、チェックアウト・ページにクレジットカードを盗むマルウェアを注入することで、脅威アクターが管理するドメインに情報を流出させることだ。

Martin は、「多くの WordPress 感染は、侵害された wp-admin 管理者ユーザーから発生している。攻撃者たちにとって、彼らが持っているアクセス・レベルの制約内で作業する必要があるのは当然のことだが、プラグインのインストールは、WordPress 管理者が持っている重要な権限の1つであることは間違いない」と述べている。

今回の情報公開の数週間前には、WordPress のセキュリティ・コミュニティである Sucuri が、WordPress とは無関係の脆弱性をユーザーに警告し、パッチを装ってプラグインをインストールさせるという、フィッシング・キャンペーンについて警告を発している。このキャンペーンで使用されたプラグインは、管理者ユーザーを作成して、永続的なリモート・アクセスのためのウェブシェルを展開するものだ。

Sucuri によると、このキャンペーンを操る脅威アクターは、CVE 識別子に関連する “RESERVED” ステータスを利用しているという。これは、CVE 番号付与機関 (CNA) や、セキュリティ研究者による使用が予約されている場合に発生するものであり、その時点では詳細が不明なものである。

WordPress Plugin


さらに Sucuri は、WebSocket 通信プロトコルを使用してオンライン・ストアのフロントにスキマー・コードを挿入する、別の Magecart キャンペーンも発見している。このマルウェアは、正規のチェックアウト・ボタンの上に重ねられた偽の “Complete Order” ボタンをクリックすると起動するという。

今週に発表された、ユーロポールのオンライン詐欺に関する Spotlight Report では、デジタル・スキミングについて、クレジットカード・データの盗難/再販/悪用につながる根強い脅威であると説明されている。同レポートには、「デジタル・スキミングにおける大きな進化は、フロントエンドのマルウェアからバックエンドのマルウェアへの移行であり、検知をより困難にしている」と記されている。

この E.U. 法執行機関は、顧客のクレジットカードやペイメントカードのデータが、スキミング攻撃により漏洩したことを、443 のオンライン加盟店に通知したと述べている。

また Group-IB は ”Digital Skimming Action” のコードネームで知られる、国境を越えたサイバー犯罪撲滅オペレーションにおいて、ユーロポールと提携しているという。そこで発見されたのは、ヨーロッパとアメリカ大陸の 17カ国の企業に対して使用された、ATMZOW/health_check/FirstKiss/FakeGA/AngryBeaver/Inter/R3nin などを含む、23の JS Sniffer のファミリーだと述べている。

シンガポールに本社を置く同社は、「合計で 132の JS Sniffer ファミリーが、2023年末の時点で、世界中の Web サイトを侵害したことが公知となっている」と述べている。

それだけではない。Google 検索や X (旧 Twitter) 上の暗号通貨プラットフォームの偽広告は、MS Drainer と名付けられた暗号通貨ドレイナーを宣伝されていることが判明している。その中でも MS Drainer は 2023年3月以降において、フィッシングのための 10,072 の Web サイトのネットワークを介して、63,210人の被害者から $58.98M を略奪したと推定されている。

ScamSniffer は、「Google の検索ワードと、それに続く X を通して、特定のオーディエンスをターゲットにしている。彼らは、特定のターゲットを選択し、非常に低コストで継続的なフィッシング・キャンペーンを展開できる」と述べている。

なにか、特定の Magecart キャンペーンを追跡して掘り下げるという記事ではなく、各種の攻撃から現在の動向などを探る内容となっています。この Magecart という名前ですが、Magento に関連するのかと調べてみたら、Akamai に説明記事がありました。なんとなく、スッキリしました。よろしければ、カテゴリ Retail も、ご利用ください。